Feuillet Hebdo de la Revue Fiduciaire
Un registre obligatoire dans les faits
Si la tenue d'un tel registre n'est pas obligatoire pour les organismes comptant moins de 250 salariés, les exceptions à ce principe sont telles que dans les faits très peu d'entreprises pourront s'en dispenser. En effet, l'obligation de tenir un registre s'impose à toutes les entreprises, quelle que soit leur taille, dès lors que le traitement est susceptible de comporter un risque pour les droits et des libertés des personnes concernées, porte sur des données sensibles ou, dernière exception qui élargit considérablement le périmètre de l'obligation, dès lors que le traitement n'est pas occasionnel. Rares sont les sociétés qui ne traitent les données de leurs salariés que de façon occasionnelle. À ce jour, et en l'absence d'une interprétation restrictive, il semble donc nécessaire pour toutes les sociétés de disposer d'un registre.
En outre, au-delà de l'obligation prévue par le texte, le registre est un outil de conformité sans lequel il serait périlleux de tenter de démontrer sa conformité. Toute société doit, à compter du 25 mai 2018, être à même d'identifier, en cas de contrôle, quelles sont les données à caractère personnel traitées, qui elles concernent, la raison pour laquelle elles sont traitées, combien de temps elles sont conservées, comment le traitement est réalisé et qui a accès auxdites données. Autant d'informations qui doivent se retrouver dans le registre.
Modèle de registre. La CNIL propose un modèle de registre sur son site. Notons toutefois que le modèle de registre proposé par la CNIL à ce jour correspond au registre des activités du responsable du traitement. La société qui traite des données en qualité de sous-traitant doit adapter le registre afin de prendre en compte les particularités du registre du sous-traitant.